Restez informé avec des mises à jour gratuites
Inscrivez-vous simplement au Cybersécurité myFT Digest – livré directement dans votre boîte de réception.
Le premier cyber-chef à s’opposer aux efforts de la Securities and Exchange Commission des États-Unis visant à le tenir personnellement responsable d’un piratage informatique massif en Russie a appelé les régulateurs mondiaux à adopter des lois plus strictes sur la cybersécurité.
Tim Brown, responsable de la sécurité des informations chez SolarWinds, a fait face à un procès historique qui l’accusait, lui et l’entreprise, d’avoir induit les investisseurs en erreur en ne divulguant pas les « risques connus » et en décrivant de manière inexacte les mesures de sécurité de l’entreprise.
S’adressant au Financial Times lors de sa première interview depuis que la plainte a été largement rejetée par un tribunal fédéral en juillet, Brown a averti que les réglementations mondiales en matière de cybersécurité sont toujours « en évolution », ce qui « ajoute absolument du stress à travers le monde » aux cyber-chefs.
« Lorsqu’il n’y a pas de règles à suivre, il est très difficile de les suivre », a déclaré Brown. « Très peu d’agents de sécurité feraient quelque chose qui n’est pas bien, mais il suffit de nous dire ce qui est bien pour le faire », a-t-il ajouté.
SolarWinds était une société de chaîne d’approvisionnement informatique peu connue basée à Austin jusqu’à ce qu’elle soit piratée par des pirates russes dans le cadre d’une campagne d’espionnage tentaculaire en 2020.
Le procès de la SEC intervient alors que l’organisme s’efforce de cibler de manière plus agressive les cyber-risques sous le mandat de son président Gary Gensler, ainsi que des signaux forts émis par elle-même et par d’autres autorités selon lesquels les individus pourraient être tenus responsables de piratages.
L’année dernière, l’ancien responsable de la sécurité d’Uber, Joe Sullivan, a été condamné par les autorités américaines à trois ans de probation et à une amende de 50 000 dollars pour avoir dissimulé une violation de données datant de 2016. Il s’agissait de la première poursuite pénale contre un dirigeant d’entreprise pour le traitement d’un fichier de données. enfreindre.
La SEC a introduit l’année dernière de nouvelles règles en matière de cybersécurité concernant la divulgation des violations de données, et a obligé les entreprises publiques à décrire les éléments de leurs processus, stratégies et gouvernance de cyber-risques dans leurs rapports annuels.
Brown a déclaré qu’il espérait que la réglementation mondiale en matière de cybersécurité allait dans la bonne direction. Il a déclaré que les professionnels de la sécurité bénéficieraient d’un cyberéquivalent de la loi Sarbanes-Oxley, adoptée en 2002 après le scandale Enron.
« Il faut se rappeler que les enjeux cyber datent de 20 à 30 ans. D’autres questions de réglementation datent de plusieurs centaines d’années. . . Nous sommes donc en train de rattraper notre retard sur la maturité de ce modèle », a-t-il ajouté.
Le procès, qui citait les communications internes entre Brown et d’autres employés de SolarWinds, a été considéré comme un tournant décisif pour l’industrie. Les avocats représentant les professionnels de la sécurité ont averti que cela risquait « effrayant » les efforts internes des cyberprofessionnels pour améliorer la sécurité de l’entreprise, de peur que leurs commentaires puissent ensuite être sortis de leur contexte et utilisés contre eux.
Le juge de district Paul Engelmayer a statué en juillet que la tentative de la SEC d’appliquer des règles comptables aux processus de cybersécurité n’était « pas tenable ». Il a rejeté la plupart des plaintes contre SolarWinds et Brown, mais a confirmé une plainte pour fraude en valeurs mobilières sur la base d’une déclaration publiée par SolarWinds sur son site Web d’entreprise.
Un porte-parole de SolarWinds a déclaré dans un communiqué que la société prévoyait de lutter contre les accusations restantes, qui, selon elle, étaient « factuellement inexactes ». La SEC a refusé de commenter.
Brown a déclaré que le procès, bien que personnellement inconfortable, avait contribué à donner aux professionnels de la sécurité des entreprises une voix au niveau de la direction.
« Cela met de la pression, mais c’est aussi un point d’inflexion », a-t-il déclaré. «Cela a élevé le [chief information security officer] position et veillé à ce que les conseils d’administration tiennent ces conversations.
Brown a rejoint ce mois-ci le conseil consultatif de la société israélienne de gestion de crise Cytactic, mais a déclaré qu’il était toujours déterminé à rester dans son rôle chez SolarWinds.
« En ce qui concerne l’incident de SolarWinds : cela s’est produit sous ma surveillance. Étais-je finalement responsable ? Eh bien non, mais cela s’est produit sous ma surveillance et je veux bien faire les choses », a-t-il déclaré.
La société a déclaré un chiffre d’affaires de 193 millions de dollars au cours des trois mois précédant juin, contre 246 millions de dollars pour la même période en 2020, avant la divulgation du piratage. Les actions ont commencé à se remettre de leurs plus bas niveaux de 2022, mais sont toujours en baisse de plus de 40 % depuis l’incident dit du Sunburst.